Réponse de Desjardins au rapport du Commissariat à la protection de la vie privée du Canada et aux ordonnances de la Commission d'accès à l'information du Québec et de l'Autorité des marchés financiers

Montréal, 14 décembre 2020 -- Desjardins prend acte du rapport du Commissariat à la protection de la vie privée du Canada (CPVP) et des ordonnances de la Commission d'accès à l'information du Québec (CAI) et de l'Autorité des marchés financiers (AMF) à la suite de la situation des renseignements personnels dont l'annonce remonte au mois de juin 2019. Desjardins a assuré sa pleine collaboration tout au long des travaux des autorités règlementaires et a établi depuis l'année dernière des stratégies qui couvrent leurs recommandations, qui sont déjà implantées ou en voie de l'être.

Mentionnons d'ailleurs que les commissaires reconnaissent les efforts de Desjardins et saluent plusieurs des initiatives mises en place. L'AMF souligne quant à elle que les mesures mises en place à ce jour constituent une amélioration certaine et témoignent de la volonté du Mouvement Desjardins de maintenir la confiance de ses membres et clients. De plus, l'AMF précise que son ordonnance ne remet pas en cause la solvabilité du Mouvement Desjardins, que ce soit au sujet des fonds propres, des liquidités ou de la rentabilité.

Les commissaires font état de 9,7 millions d'individus qui sont concernés par la situation des renseignements personnels. Ce nombre correspond aux dossiers auquel l'ex-employé malveillant a eu accès dans le périmètre bancaire. Au moment où la situation s'est produite, il s'agissait de membres actifs et inactifs, mais aussi de clients actifs et inactifs détenant ou ayant détenu des cartes de crédit ou des produits de financement aux points de vente, comme mentionné en décembre 2019. Il est important de préciser que les bases de données des filiales ne sont pas concernées. Selon les informations détenues par Desjardins, ce sont les renseignements personnels des 4,2 millions de membres actifs lors de la situation qui auraient été transmis à des tiers. Rien ne permet de confirmer que les renseignements personnels d'autres personnes ont été transmis à des tiers. Finalement, rappelons que dès décembre 2019, Desjardins a offert une protection à l'ensemble des personnes concernées.

Engagements de Desjardins concernant le rapport du Commissariat à la protection de la vie privée du Canada et l'ordonnance de la Commission d'accès à l'information du Québec

Desjardins a considérablement renforcé sa position en matière de sécurité, notamment au cours des 18 derniers mois, et continuera d'appliquer les meilleures pratiques citées par les cadres de référence internationaux.

Au cours des prochaines années, Desjardins poursuivra ses travaux, en collaboration avec plusieurs autres acteurs, afin de créer une identité numérique au Québec et au Canada. Celle-ci permettra de donner le contrôle de leurs données aux citoyens et d'échanger des informations de façon plus sécuritaire.

Les actions prises par Desjardins en matière de sécurité

Il est important de noter que la prévention des fuites de données nécessite un ensemble de mesures humaines, technologiques et procédurales autant en prévention qu'en détection. C'est en fait tout le programme de sécurité, en tenant compte des personnes, des processus et des technologies, qui permet de prévenir les menaces de sécurité de l'information et de fraudes.

C'est pourquoi Desjardins a poursuivi ses efforts, dès que la situation a été connue au mois de mai 2019, afin d'offrir l'un des environnements les plus sécuritaires parmi l'ensemble des institutions financières. La mise en place de mesures additionnelles en matière de protection des renseignements personnels déjà amorcée a été accélérée. En voici quelques exemples :

  • Mise en place du Bureau de la sécurité Desjardins (BSD) en décembre 2019.
    • Doté d'un budget d'investissement de plus de 150 M$, qui sera augmenté à plus de 250 M$ en 2021, il est la démonstration de l'importance que Desjardins accorde à la sécurité et à la protection des renseignements personnels.
    • Le BSD regroupe les expertises de différentes équipes en provenance de quatre premières vice-présidences et compte près de 900 experts, dont la cybersécurité, la prévention de la fraude, la protection des renseignements personnels, la lutte au blanchiment d'argent et aux crimes et délits financiers.
    • Son mandat est notamment de poursuivre l'implantation des meilleures pratiques en matière de sécurité de l'information et de protection des renseignements personnels.

  • Nomination d'un Chef des données Mouvement dont le mandat consiste notamment à appliquer les encadrements relatifs à la sécurité de l'information, à la sécurité des données et à l'entreposage des données, conformément aux meilleures pratiques de l'industrie.

  • Accélération des travaux de révision des délais de conservation des données, en fonction de la réglementation applicable.

  • Développement de nouveaux produits sur mesure dans le domaine de la surveillance de données avec des entreprises locales.

  • Évolution d'un environnement restrictif d'analyse qui encadre, restreint et surveille l'utilisation et l'extraction des données.

  • Rehaussement du programme de protection des données, dont la mise en place de Data Loss Prevention (DLP).

  • Révision des politiques et directives concernant la sécurité et l'utilisation des données confidentielles en vue d'appliquer les meilleures pratiques en la matière.

Création d'un Centre d'intelligence de la sécurité

Desjardins annonce la création d'un centre d'intelligence de la sécurité (fusion centre) qui sera opérationnel au début de l'année 2021. Ce centre offrira une protection rapide et efficace de l'organisation, au bénéfice de ses membres et clients. Ses principaux axes d'intervention seront la prévention et la détection ainsi que la gestion des événements. Intégré aux activités du Bureau de la sécurité Desjardins, il regroupera les quatre expertises que sont la cybersécurité, la prévention de la fraude, la protection des renseignements personnels, la lutte au blanchiment d'argent et aux crimes et délits financiers. Il entrera en action lorsque la synergie d'au moins deux expertises sera nécessaire. Sa mise en place, où l'intelligence artificielle occupe un rôle central, répond aux besoins grandissants d'analyse des données de prévention et de détection des événements liés à la sécurité et aux crimes financiers. Desjardins est parmi les premiers à faire une intégration complète de l'ensemble de ces domaines liés à la sécurité au Canada.

Engagements de Desjardins concernant l'ordonnance de l'Autorité des marchés financiers

Dès le mois de juin 2019, Desjardins a répondu favorablement aux demandes de l'AMF en démarrant des travaux visant à obtenir un bilan complet et détaillé de la situation. Ces travaux ont été réalisés, avec l'aide de consultants externes, afin de déterminer toute mesure devant être mise en place, et pour continuer à resserrer sa gouvernance et sa gestion des risques.

En décembre 2019, parallèlement à ses propres travaux pour se doter de moyens efficaces pour lutter contre les menaces internes et externes, Desjardins a mis en place un comité spécial, composé uniquement d'administrateurs indépendants du conseil d'administration, à la demande de l'AMF. Ce comité spécial ayant pour mandat de superviser la gestion de la situation demeurera en place afin de s'assurer du déploiement des différents travaux. De plus, Desjardins a rehaussé son profil collectif du conseil d'administration par l'ajout de quatre administrateurs externes, dont deux possédant une solide expertise en technologie de l'information et en cybersécurité.

Les membres et clients de Desjardins sont protégés

La Protection Desjardins demeure à ce jour l'une des meilleures protections offertes au Canada. D'ailleurs, le Commissariat à la protection de la vie privée du Canada souligne que la Protection Desjardins dépasse, de manière considérable, celles offertes par d'autres organisations à la suite de fuites importantes. Tous les membres et clients de Desjardins bénéficient des quatre volets de la Protection :

  1. Protection : Les actifs que les membres et clients détiennent et les transactions financières effectuées chez Desjardins sont entièrement protégés en cas d'opérations non autorisées.
  2. Accompagnement : En cas de vol d'identité avéré, Desjardins assure une prise en charge personnalisée et accompagne ses membres et clients à chacune des étapes pour restaurer leur identité.
  3. Remboursement : Dans le cadre de la restauration d'identité, les membres et clients auront droit à un remboursement pouvant aller jusqu'à 50 000 $ pour des frais engagés tels que les frais de notaire et d'avocat, les pertes de salaire ou autres dépenses.
  4. Surveillance : Les membres et clients ont accès au service de surveillance du crédit d'Equifax pendant cinq ans, soit la consultation quotidienne de leur cote de crédit sur le site Internet d'Equifax ainsi que la surveillance de leur dossier de crédit, y compris la réception d'alertes transmises lors d'activités dans celui-ci.

Les anciens membres, ainsi que les anciens clients ayant reçu du financement aux points de vente et par carte de crédit, peuvent bénéficier, s'ils en font la demande, du service de surveillance du crédit d'Equifax comprenant la surveillance du dossier de crédit, l'accompagnement en cas de vol d'identité et une assurance pour le remboursement des dépenses.

En date du 30 novembre 2020, ce sont 1,9 million de personnes qui se sont inscrites au service de surveillance du crédit d'Equifax. Ce sont également 1,4 million de personnes qui ont eu recours au service Ma Cote de Crédit de TransUnion, par le biais d'AccèsD, pour visualiser leur dossier de crédit. Les personnes qui le souhaitent ont jusqu'au 31 décembre 2022 pour demander un code d'activation pour souscrire, aux frais de Desjardins, au service de surveillance du crédit d'Equifax en se rendant sur le www.desjardins.com/protection-desjardins.

Mise en garde sur les énoncés prospectifs

Certains énoncés qui figurent dans le présent communiqué de presse peuvent constituer des énoncés prospectifs. Par leur nature même, les énoncés prospectifs comportent des hypothèses, des incertitudes et des risques inhérents de nature générale ou spécifique. Il est donc possible qu'en raison de plusieurs facteurs, les hypothèses formulées s'avèrent erronées, ou que les prédictions, projections ou autres énoncés prospectifs ainsi que les objectifs et les priorités du Mouvement Desjardins ne se matérialisent pas ou se révèlent inexacts, et que les résultats réels en diffèrent sensiblement. Divers facteurs, dont plusieurs sont indépendants de la volonté du Mouvement Desjardins et dont ce dernier peut difficilement prédire les répercussions, peuvent influer, isolément ou collectivement, sur la justesse des énoncés prospectifs mentionnés dans ce communiqué de presse. Des renseignements supplémentaires sur ces derniers et d'autres facteurs sont fournis à la section « Gestion des risques » du rapport de gestion annuel 2019 du Mouvement Desjardins. Bien que le Mouvement Desjardins soit d'avis que les attentes exprimées dans ces énoncés prospectifs sont raisonnables et basées sur un fondement valable, il ne peut garantir qu'elles se concrétiseront ou se révéleront exactes. Dans la mesure où le Mouvement Desjardins ne respecte pas l'ordonnance de l'Autorité des marchés financiers, ou l'ordonnance de la Commission d'accès à l'information du Québec, le Mouvement Desjardins peut être assujetti aux mesures prévues aux lois applicables, incluant des sanctions administratives ou pénales. Le Mouvement Desjardins déconseille aux lecteurs de se fier indûment à ces énoncés prospectifs pour prendre des décisions étant donné que les résultats réels, les conditions, les actions ou les événements futurs pourraient différer sensiblement des cibles, des attentes, des estimations ou des intentions qui y sont avancées explicitement ou implicitement. Le Mouvement Desjardins ne s'engage pas à mettre à jour les énoncés prospectifs, verbaux ou écrits, qui peuvent être faits à l'occasion par lui ou en son nom, à l'exception de ce qui est exigé en vertu des lois sur les valeurs mobilières applicables.

Pour journalistes seulement : Relations publiques, Mouvement Desjardins
514 281-7000, poste 5553436
media@desjardins.com